局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)

局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)xx學(xué)院計(jì)算機(jī)工程技術(shù)學(xué)院(軟件學(xué)院)畢業(yè)設(shè)計(jì)題目：局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)專業(yè)：學(xué)生姓名：學(xué)號(hào)：大一班級(jí)：大三班級(jí)：指導(dǎo)教師姓名：職稱：2017年3月25日局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第1頁。

xx學(xué)院計(jì)算機(jī)工程技術(shù)學(xué)院局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第1頁。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)設(shè)計(jì)任務(wù)書填表日期：2017年3月25日項(xiàng)目名局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)學(xué)生姓名學(xué)生號(hào)聯(lián)系電話指導(dǎo)教師單位聯(lián)系電話項(xiàng)目簡(jiǎn)介本項(xiàng)目模擬某企業(yè)的局域網(wǎng)內(nèi)部網(wǎng)絡(luò)，運(yùn)用一些網(wǎng)絡(luò)技術(shù)，加上網(wǎng)絡(luò)安全設(shè)備，從而使該企業(yè)的局域網(wǎng)網(wǎng)絡(luò)處于相對(duì)安全的局面。設(shè)計(jì)任務(wù)、目標(biāo)與計(jì)劃目標(biāo)：模擬某企業(yè)的局域網(wǎng)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)企業(yè)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)的安全，防止非法設(shè)備接入內(nèi)網(wǎng)并將其阻斷配置防火墻的安全策略，防止來自外部網(wǎng)絡(luò)的侵害3.允許內(nèi)部主機(jī)能夠訪問外網(wǎng)計(jì)劃：確定設(shè)計(jì)的選題，明確具體的研究方向查閱相關(guān)的技術(shù)文獻(xiàn)，并通過實(shí)驗(yàn)檢驗(yàn)選題的可行性起草設(shè)計(jì)論文的主要內(nèi)容，撰寫設(shè)計(jì)文檔初稿交由指導(dǎo)老師審閱修改完善設(shè)計(jì)文檔，完成設(shè)計(jì)任務(wù)局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第2頁。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第2頁。指導(dǎo)教師評(píng)語：指導(dǎo)教師評(píng)分：指導(dǎo)教師簽名：年月日答辯專家組對(duì)畢業(yè)設(shè)計(jì)答辯評(píng)議及成績(jī)?cè)u(píng)定：答辯組長(zhǎng)：（簽章）年月日學(xué)院畢業(yè)審核意見：院長(zhǎng)：（簽章）年月日局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第3頁。

局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第3頁。摘要近幾年來，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。因此本論文為企業(yè)構(gòu)架網(wǎng)絡(luò)安全體系，主要運(yùn)用vlan劃分、防火墻技術(shù)、病毒防護(hù)等技術(shù)，來實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。關(guān)鍵詞：端口安全，網(wǎng)絡(luò)，安全，防火墻，vlanIIAbstractInrecentyears,Internettechnologyhasmatured,hasbeguntoprovideandguaranteefromthenetworkconnectivityasthemaintargetofthefirstgenerationofInternettechnologytoprovidenetworkdataservicesforthecharacteristicsofthesecondgenerationofInternettechnologytransition.Theseallcontributedtotherapidcomputernetworkingtechnologyoflarge-scaleuse.Asweallknow,theworld'slargestinformationnetworkuseof,Internetopennessoftheiragreementgreatlyfacilitateavarietyofcomputernetworkingtobroadenthesharingofresources.However,intheearlydesignofnetworkprotocolsonsecurityissuesofneglect,aswellasinmanagementanduseoftheanarchy,theInternetincreasinglyseriousthreattotheirsecurity,anditsrelatedsecurityincidentshappenedquitefrequently.Networksecuritythreatsmainlyin:unauthorizedaccess,posingaslegitimateusers,damagetodataintegrity,interferewiththenormaloperationofthesystem,usingtheInternetspreadthevirus,linetappingandsoon.Therefore,thispaperfortheenterprisearchitecturenetworksecuritysystem,mainlybytheuseofvlan,firewall,virusprotectionandothertechnologiestoachievecorporatenetworksecurity.Keywords:PortSecurity，network,security,firewall,vlan引言局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第4頁。隨著計(jì)算機(jī)運(yùn)用到各個(gè)領(lǐng)域，計(jì)算機(jī)用戶的數(shù)量逐漸增多，這就涉及到越來越多的重要信息被計(jì)算機(jī)存儲(chǔ)下來，所以對(duì)于計(jì)算機(jī)安全問題的解決以及預(yù)防是刻不容緩的任務(wù)。計(jì)算機(jī)容易受到黑客、病毒的侵入，而這些不僅會(huì)影響到計(jì)算機(jī)的安全，更加會(huì)影響到用戶信息的安全，會(huì)給用戶造成極大的危害，所以計(jì)算機(jī)的安全問題必須值得深思和研究。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第4頁。項(xiàng)目需求分析（黑體4號(hào)）1．局域網(wǎng)安全威脅分析局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類：（1）欺騙性的軟件使數(shù)據(jù)安全性降低；（2）計(jì)算機(jī)病毒及惡意代碼的威脅；（3）服務(wù)器區(qū)域沒有進(jìn)行獨(dú)立防護(hù)；.（4）IP地址沖突；

（5）局域網(wǎng)用戶安全意識(shí)不強(qiáng)；

正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。2.局域網(wǎng)安全解決辦法當(dāng)前，保證局域網(wǎng)安全的解決辦法有以下幾種：（1）網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

目前，一般的局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。（2）VLAN的劃分局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第5頁。為了克服以太網(wǎng)的廣播問題，除了上述方法外，還可以運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第5頁。目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎。基于MAC地址的VLAN為移動(dòng)計(jì)算提供了可能性，但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用卻尚不成熟。在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。三、項(xiàng)目設(shè)計(jì)利用華為模擬器eNsp模擬一個(gè)小型企業(yè)的局域網(wǎng)局部?jī)?nèi)部網(wǎng)絡(luò)，其拓?fù)鋱D如下：1.設(shè)計(jì)任務(wù)：局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第6頁。A該公司內(nèi)部主機(jī)的地址全部通過dhcp獲取，R1做dhcp服務(wù)器，業(yè)務(wù)部為vlan10，它的地址網(wǎng)段為/24，其中作為vlan10的網(wǎng)關(guān)；會(huì)計(jì)部為vlan20，它的地址網(wǎng)段為/24，其中作為vlan20的網(wǎng)關(guān)局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第6頁。B在接入交換機(jī)中開啟端口安全，配置接口MAC地址學(xué)習(xí)限制數(shù)為1；配置端口安全功能的保護(hù)動(dòng)作為shutdown；開啟接口StickyMAC功能。C在R1跟防火墻之間使用動(dòng)態(tài)路由協(xié)議ospfD在防火墻中配置區(qū)域安全，并設(shè)置安全策略，在防火墻做NAT,將內(nèi)部的私有地址映射出去，允許內(nèi)部地址訪問外部網(wǎng)絡(luò)。2.原理分析：A．VlanVLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網(wǎng)"。虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)：網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開銷減少；可以控制廣播活動(dòng)；可提高網(wǎng)絡(luò)的安全性。在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)二層網(wǎng)絡(luò)可以被劃分為多個(gè)不同的廣播域，一個(gè)廣播域?qū)?yīng)了一個(gè)特定的用戶組，默認(rèn)情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過一個(gè)或多個(gè)路由器。這樣的一個(gè)廣播域就稱為VLAN。劃分VLAN后，不同VLAN之間不能直接通信。如果要實(shí)現(xiàn)VLAN間通信，可以采取以下方案：

局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第7頁。圖2

通過子接口實(shí)現(xiàn)VLAN間的通信局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第7頁。a．子接口如上圖2所示，DeviceA為支持配置子接口的三層設(shè)備，DeviceB為二層交換設(shè)備。LAN通過DeviceB的以太網(wǎng)接口（交換式以太網(wǎng)接口）與DeviceA的以太網(wǎng)接口（路由式以太網(wǎng)接口）相連。用戶主機(jī)被劃分到兩個(gè)VLAN：VLAN2和VLAN3?？赏ㄟ^如下配置實(shí)現(xiàn)VLAN間互通。在DeviceA的以太網(wǎng)接口（與DeviceB相連的以太網(wǎng)接口）上創(chuàng)建2個(gè)子接口Port1.1和Port2.1，并配置802.1Q封裝與VLAN2和VLAN3分別對(duì)應(yīng)。配置子接口的IP地址，保證兩個(gè)子接口對(duì)應(yīng)的IP地址路由可通。將DeviceB與DeviceA相連的以太網(wǎng)接口類型配置為Trunk或Hybrid類型，允許VLAN2和VLAN3的幀通過。將用戶設(shè)備的缺省網(wǎng)關(guān)設(shè)置為所屬VLAN對(duì)應(yīng)子接口的IP地址。主機(jī)A和C的通信過程如下:主機(jī)A將主機(jī)C的IP地址和自己所在網(wǎng)段進(jìn)行比較，發(fā)現(xiàn)主機(jī)C和自己不在同一個(gè)子網(wǎng)。主機(jī)A發(fā)送ARP請(qǐng)求給自己的網(wǎng)關(guān)DeviceA，請(qǐng)求網(wǎng)關(guān)的MAC地址。DeviceA收到該ARP請(qǐng)求后，返回ARP應(yīng)答報(bào)文，報(bào)文中源MAC地址為VLAN2對(duì)應(yīng)子接口的MAC地址。主機(jī)A學(xué)習(xí)到網(wǎng)關(guān)的MAC地址。主機(jī)A向網(wǎng)關(guān)發(fā)送目的MAC為子接口MAC地址、目的IP為主機(jī)C的IP地址的報(bào)文。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第8頁。DeviceA收到該報(bào)文后進(jìn)行三層轉(zhuǎn)發(fā)，發(fā)現(xiàn)主機(jī)C的IP地址為直連路由，報(bào)文將通過VLAN3關(guān)聯(lián)的子接口進(jìn)行轉(zhuǎn)發(fā)。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第8頁。DeviceA作為VLAN3內(nèi)主機(jī)的網(wǎng)關(guān)，向VLAN3內(nèi)發(fā)送一個(gè)ARP廣播，請(qǐng)求主機(jī)C的MAC地址。主機(jī)C收到網(wǎng)關(guān)發(fā)送的ARP廣播后，對(duì)此請(qǐng)求進(jìn)行ARP應(yīng)答。網(wǎng)關(guān)收到主機(jī)C的應(yīng)答后，就把主機(jī)A的報(bào)文發(fā)送給主機(jī)C。主機(jī)A之后要發(fā)給C的報(bào)文都先發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)做三層轉(zhuǎn)發(fā)。

b．VLANIF接口三層交換技術(shù)是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)，在交換機(jī)內(nèi)部實(shí)現(xiàn)了路由，提高了網(wǎng)絡(luò)的整體性能。三層交換機(jī)通過路由表傳輸?shù)谝粋€(gè)數(shù)據(jù)流后，會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表。當(dāng)同樣的數(shù)據(jù)流再次通過時(shí)，將根據(jù)此表直接從二層通過而不是通過三層，從而消除了路由器進(jìn)行路由選擇而造成的網(wǎng)絡(luò)延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)效率。為了保證第一次數(shù)據(jù)流通過路由表正常轉(zhuǎn)發(fā)，路由表中必須有正確的路由表項(xiàng)。因此必須在三層交換機(jī)上部署三層接口并部署路由協(xié)議，實(shí)現(xiàn)三層路由可達(dá)。VLANIF接口由此而產(chǎn)生。VLANIF接口是三層邏輯接口，可以部署在三層交換機(jī)上，也可以部署在路由器上。在下圖3所示的網(wǎng)絡(luò)中，交換機(jī)上劃分了2個(gè)VLAN：VLAN2和VLAN3。可通過如下配置實(shí)現(xiàn)VLAN間互通。在Device上創(chuàng)建2個(gè)VLANIF接口并配置VLANIF接口的IP地址，保證兩個(gè)VLANIF接口對(duì)應(yīng)的IP地址路由可通。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第9頁。將用戶設(shè)備的缺省網(wǎng)關(guān)設(shè)置為所屬VLAN對(duì)應(yīng)VLANIF接口的IP地址。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第9頁。

圖3

通過VLANIF接口實(shí)現(xiàn)VLAN間的通信主機(jī)A和C的通信過程如下:主機(jī)A將主機(jī)C的IP地址和自己所在網(wǎng)段進(jìn)行比較，發(fā)現(xiàn)主機(jī)C和自己不在同一個(gè)子網(wǎng)。主機(jī)A發(fā)送ARP請(qǐng)求給自己的網(wǎng)關(guān)Device，請(qǐng)求網(wǎng)關(guān)的MAC地址。Device收到該ARP請(qǐng)求后，返回ARP應(yīng)答報(bào)文，報(bào)文中源MAC地址為VLANIF2的MAC地址。主機(jī)A學(xué)習(xí)到網(wǎng)關(guān)的MAC地址。主機(jī)A向網(wǎng)關(guān)發(fā)送目的MAC為VLANIF接口MAC地址、目的IP為主機(jī)C的IP地址的報(bào)文。Device收到該報(bào)文后進(jìn)行三層轉(zhuǎn)發(fā)，發(fā)現(xiàn)主機(jī)C的IP地址為直連路由，報(bào)文將通過VLANIF3接口進(jìn)行轉(zhuǎn)發(fā)。Device作為VLAN3內(nèi)主機(jī)的網(wǎng)關(guān)，向VLAN3內(nèi)發(fā)送一個(gè)ARP廣播，請(qǐng)求主機(jī)C的MAC地址。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第10頁。主機(jī)C收到網(wǎng)關(guān)發(fā)送的ARP廣播后，對(duì)此請(qǐng)求進(jìn)行ARP應(yīng)答。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第10頁。網(wǎng)關(guān)收到主機(jī)C的應(yīng)答后，就把主機(jī)A的報(bào)文發(fā)送給主機(jī)C。主機(jī)A之后要發(fā)給C的報(bào)文都先發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)做三層轉(zhuǎn)發(fā)。B．端口安全端口安全是一種基于MAC地址對(duì)網(wǎng)絡(luò)接入進(jìn)行控制的安全機(jī)制，是對(duì)已有的802.1X認(rèn)證和MAC地址認(rèn)證的擴(kuò)充。這種機(jī)制通過檢測(cè)端口收到的數(shù)據(jù)幀中的源MAC地址來控制非授權(quán)設(shè)備對(duì)網(wǎng)絡(luò)的訪問，通過檢測(cè)從端口發(fā)出的數(shù)據(jù)幀中的目的MAC地址來控制對(duì)非授權(quán)設(shè)備的訪問。端口安全的主要功能是通過定義各種端口安全模式，讓設(shè)備學(xué)習(xí)到合法的源MAC地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。啟動(dòng)了端口安全功能之后，當(dāng)發(fā)現(xiàn)非法報(bào)文時(shí)，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式進(jìn)行處理，既方便用戶的管理又提高了系統(tǒng)的安全性。這里的非法報(bào)文是指：a禁止MAC地址學(xué)習(xí)時(shí)，收到的源MAC地址為未知MAC的報(bào)文；b端口學(xué)習(xí)到的MAC地址達(dá)到端口所允許的最大MAC地址數(shù)后，收到的源MAC地址為未知MAC的報(bào)文；c未通過認(rèn)證的用戶發(fā)送的報(bào)文。C.OSPF局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第11頁。OSPF是一種分層次的路由協(xié)議，其層次中最大的實(shí)體是AS（自治系統(tǒng)），即遵循共同路由策略管理下的一部分網(wǎng)絡(luò)實(shí)體。在每個(gè)AS中，將網(wǎng)絡(luò)劃分為不同的區(qū)域。每個(gè)區(qū)域都有自己特定的標(biāo)識(shí)號(hào)。對(duì)于主干（backbone）區(qū)域，負(fù)責(zé)在區(qū)域之間分發(fā)鏈路狀態(tài)信息。這種分層次的網(wǎng)絡(luò)結(jié)構(gòu)是根據(jù)OSPF的實(shí)際提出來的。當(dāng)網(wǎng)絡(luò)中自治系統(tǒng)非常大時(shí)，網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫的內(nèi)容就更多，所以如果不分層次的話，一方面容易造成數(shù)據(jù)庫溢出，另一方面當(dāng)網(wǎng)絡(luò)中某一鏈路狀態(tài)發(fā)生變化時(shí)，會(huì)引起整個(gè)網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)都重新計(jì)算一遍自己的路由表，既浪費(fèi)資源與時(shí)間，又會(huì)影響路由協(xié)議的性能（如聚合速度、穩(wěn)定性、靈活性等）。因此，需要把自治系統(tǒng)劃分為多個(gè)域，每個(gè)域內(nèi)部維持本域一張唯一的拓?fù)浣Y(jié)構(gòu)圖，且各域根據(jù)自己的拓?fù)鋱D各自計(jì)算路由，域邊界路由器把各個(gè)域的內(nèi)部路由總結(jié)后在域間擴(kuò)散。這樣，當(dāng)網(wǎng)絡(luò)中的某條鏈路狀態(tài)發(fā)生變化時(shí)，此鏈路所在的域中的每個(gè)路由器重新計(jì)算本域路由表，而其它域中路由器只需修改其路由表中的相應(yīng)條目而無須重新計(jì)算整個(gè)路由表，節(jié)省了計(jì)算路由表的時(shí)間。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第11頁。OSPF由兩個(gè)互相關(guān)聯(lián)的主要部分組成：“呼叫”協(xié)議和“可靠泛洪”機(jī)制。呼叫協(xié)議檢測(cè)鄰居并維護(hù)鄰接關(guān)系，可靠泛洪算法可以確保統(tǒng)一域中的所有的OSPF路由器始終具有一致的鏈路狀態(tài)數(shù)據(jù)庫，而該數(shù)據(jù)庫構(gòu)成了對(duì)域的網(wǎng)絡(luò)拓?fù)浜玩溌窢顟B(tài)的映射。鏈路狀態(tài)數(shù)據(jù)庫中每個(gè)條目稱為L(zhǎng)SA（鏈路狀態(tài)通告），共有5種不同類型的LSA，路由器間交換信息時(shí)就是交換這些LSA。每個(gè)路由器都維護(hù)一個(gè)用于跟蹤網(wǎng)絡(luò)鏈路狀態(tài)的數(shù)據(jù)庫，然后各路由器的路由選擇就是基于鏈路狀態(tài)，通過Dijkastra算法建立起來最短路徑樹，用該樹跟蹤系統(tǒng)中的每個(gè)目標(biāo)的最短路徑。最后再通過計(jì)算域間路由、自治系統(tǒng)外部路由確定完整的路由表。與此同時(shí)，OSPF動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)狀態(tài)，一旦發(fā)生變化則迅速擴(kuò)散達(dá)到對(duì)網(wǎng)絡(luò)拓?fù)涞目焖倬酆希瑥亩_定出新的網(wǎng)絡(luò)路由表。OSPF的設(shè)計(jì)實(shí)現(xiàn)要涉及到指定路由器、備份指定路由器的選舉、協(xié)議包的接收、發(fā)送、泛洪機(jī)制、路由表計(jì)算等一系列問題。D.NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是1994年提出的。當(dāng)在專用網(wǎng)內(nèi)部的一些主機(jī)本來已經(jīng)分配到了本地IP地址（即僅在本專用網(wǎng)內(nèi)使用的專用地址），但現(xiàn)在又想和因特網(wǎng)上的主機(jī)通信（并不需要加密）時(shí)，可使用NAT方法。這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個(gè)有效的外部全球IP地址。這樣，所有使用本地地址的主機(jī)在和外界通信時(shí)，都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址，才能和因特網(wǎng)連接。另外，這種通過使用少量的公有IP地址代表較多的私有IP地址的方式，將有助于減緩可用的IP地址空間的枯竭。借助于NAT，私有（保留）地址的"內(nèi)部"網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址，一個(gè)局域網(wǎng)只需使用少量IP地址（甚至是1個(gè)）即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求。NAT將自動(dòng)修改IP報(bào)文的源IP地址和目的IP地址，Ip地址校驗(yàn)則在NAT處理過程中自動(dòng)完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中，所以還需要同時(shí)對(duì)報(bào)文的數(shù)據(jù)部分進(jìn)行修改，以匹配IP頭中已經(jīng)修改過的源IP地址。否則，在報(bào)文數(shù)據(jù)部分嵌入IP地址的應(yīng)用程序就不能正常工作。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第12頁。Nat-工作流程1局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第12頁。①如右圖這個(gè)client（終端）的gateway（網(wǎng)關(guān)）設(shè)定為NAT主機(jī)，所以當(dāng)要連上Internet的時(shí)候，該封包就會(huì)被送到NAT主機(jī)，這個(gè)時(shí)候的封包Header之sourceIP（源IP）為00；②而透過這個(gè)NAT主機(jī)，它會(huì)將client的對(duì)外聯(lián)機(jī)封包的sourceIP(00)偽裝成ppp0(假設(shè)為撥接情況)這個(gè)接口所具有的公共IP，因?yàn)槭枪睮P了，所以這個(gè)封包就可以連上Internet了，同時(shí)NAT主機(jī)并且會(huì)記憶這個(gè)聯(lián)機(jī)的封包是由哪一個(gè)(00)client端傳送來的；Nat工作流程2③由Internet傳送回來的封包，當(dāng)然由NAT主機(jī)來接收了，這個(gè)時(shí)候，NAT主機(jī)會(huì)去查詢?cè)居涗浀穆酚尚畔ⅲ⒛繕?biāo)IP由ppp0上面的公共IP改回原來的00；④最后則由NAT主機(jī)將該封包傳送給原先發(fā)送封包的Client

。E.DHCPDHCP協(xié)議采用UDP作為傳輸協(xié)議，主機(jī)發(fā)送請(qǐng)求消息到DHCP服務(wù)器的67號(hào)端口，DHCP服務(wù)器回應(yīng)應(yīng)答消息給主機(jī)的68號(hào)端口。詳細(xì)的交互過程如下圖。DHCPClient以廣播的方式發(fā)出DHCPDiscover報(bào)文。所有的DHCPServer都能夠接收到DHCPClient發(fā)送的DHCPDiscover報(bào)文，所有的DHCPServer都會(huì)給出響應(yīng)，向DHCPClient發(fā)送一個(gè)DHCPOffer報(bào)文。DHCPOffer報(bào)文中“Your(Client)IPAddress”字段就是DHCPServer能夠提供給DHCPClient使用的IP地址，且DHCPServer會(huì)將自己的IP地址放在“option”字段中以便DHCPClient區(qū)分不同的DHCPServer。DHCPServer在發(fā)出此報(bào)文后會(huì)存在一個(gè)已分配IP地址的紀(jì)錄。DHCPClient只能處理其中的一個(gè)DHCPOffer報(bào)文，一般的原則是DHCPClient處理最先收到的DHCPOffer報(bào)文。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第13頁。DHCPClient會(huì)發(fā)出一個(gè)廣播的DHCPRequest報(bào)文，在選項(xiàng)字段中會(huì)加入選中的DHCPServer的IP地址和需要的IP地址。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第13頁。DHCPServer收到DHCPRequest報(bào)文后，判斷選項(xiàng)字段中的IP地址是否與自己的地址相同。如果不相同，DHCPServer不做任何處理只清除相應(yīng)IP地址分配記錄；如果相同，DHCPServer就會(huì)向DHCPClient響應(yīng)一個(gè)DHCPACK報(bào)文，并在選項(xiàng)字段中增加IP地址的使用租期信息。DHCPClient接收到DHCPACK報(bào)文后，檢查DHCPServer分配的IP地址是否能夠使用。如果可以使用，則DHCPClient成功獲得IP地址并根據(jù)IP地址使用租期自動(dòng)啟動(dòng)續(xù)延過程；如果DHCPClient發(fā)現(xiàn)分配的IP地址已經(jīng)被使用，則DHCPClient向DHCPServer發(fā)出DHCPDecline報(bào)文，通知DHCPServer禁用這個(gè)IP地址，然后DHCPClient開始新的地址申請(qǐng)過程。DHCPClient在成功獲取IP地址后，隨時(shí)可以通過發(fā)送DHCPRelease報(bào)文釋放自己的IP地址，DHCPServer收到DHCPRelease報(bào)文后，會(huì)回收相應(yīng)的IP地址并重新分配。在使用租期超過50%時(shí)刻處，DHCPClient會(huì)以單播形式向DHCPServer發(fā)送DHCPRequest報(bào)文來續(xù)租IP地址。如果DHCPClient成功收到DHCPServer發(fā)送的DHCPACK報(bào)文，則按相應(yīng)時(shí)間延長(zhǎng)IP地址租期；如果沒有收到DHCPServer發(fā)送的DHCPACK報(bào)文，則DHCPClient繼續(xù)使用這個(gè)IP地址。在使用租期超過87.5%時(shí)刻處，DHCPClient會(huì)以廣播形式向DHCPServer發(fā)送DHCPRequest報(bào)文來續(xù)租IP地址。如果DHCPClient成功收到DHCPServer發(fā)送的DHCPACK報(bào)文，則按相應(yīng)時(shí)間延長(zhǎng)IP地址租期；如果沒有收到DHCPServer發(fā)送的DHCPACK報(bào)文，則DHCPClient繼續(xù)使用這個(gè)IP地址，直到IP地址使用租期到期時(shí)，DHCPClient才會(huì)向DHCPServer發(fā)送DHCPRelease報(bào)文來釋放這個(gè)IP地址，并開始新的IP地址申請(qǐng)過程。需要說明的是：DHCP客戶端可以接收到多個(gè)DHCP服務(wù)器的DHCPOFFER數(shù)據(jù)包，然后可能接受任何一個(gè)DHCPOFFER數(shù)據(jù)包，但客戶端通常只接受收到的第一個(gè)DHCPOFFER數(shù)據(jù)包。另外，DHCP服務(wù)器DHCPOFFER中指定[1]

的地址不一定為最終分配的地址，通常情況下，DHCP服務(wù)器會(huì)保留該地址直到客戶端發(fā)出正式請(qǐng)求。正式請(qǐng)求DHCP服務(wù)器分配地址DHCPREQUEST采用廣播包，是為了讓其它所有發(fā)送DHCPOFFER數(shù)據(jù)包的DHCP服務(wù)器也能夠接收到該數(shù)據(jù)包，然后釋放已經(jīng)OFFER（預(yù)分配）給客戶端的IP地址。如果發(fā)送給DHCP客戶端的地址已經(jīng)被其他DHCP客戶端使用，客戶端會(huì)向服務(wù)器發(fā)送DHCPDECLINE信息包拒絕接受已經(jīng)分配的地址信息。在協(xié)商過程中，如果DHCP客戶端發(fā)送的REQUEST消息中的地址信息不正確，如客戶端已經(jīng)遷移到新的子網(wǎng)或者租約已經(jīng)過期，DHCP服務(wù)器會(huì)發(fā)送DHCPNAK消息給DHCP客戶端，讓客戶端重新發(fā)起地址請(qǐng)求過程。四、項(xiàng)目實(shí)現(xiàn)局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第14頁。1.配置dhcp地址池局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第14頁。[R1]ippoolvlan10[R1-ip-pool-vlan10]gateway-list[R1-ip-pool-vlan10]networkmask[R1-ip-pool-vlan10]leaseday10hour0minute0[R1-ip-pool-vlan10]dns-list14[R1-ip-pool-vlan10]ippoolvlan20[R1-ip-pool-vlan20]gateway-list[R1-ip-pool-vlan20]networkmask[R1-ip-pool-vlan20]leaseday10hour0minute0[R1-ip-pool-vlan20]dns-list14查看主機(jī)分配情況局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第15頁。局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第15頁。2.端口安全[SW2]intEthernet0/0/2[SW2-Ethernet0/0/2]portlink-typeaccess[SW2-Ethernet0/0/2]portdefaultvlan10[SW2-Ethernet0/0/2]port-securityenable局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第16頁。[SW2-Ethernet0/0/2]port-securityprotect-actionshutdown局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第16頁。[SW2-Ethernet0/0/2]port-securitymac-addresssticky[SW2-Ethernet0/0/2]quit[SW2]intEthernet0/0/3[SW2-Ethernet0/0/3]portlink-typeaccess[SW2-Ethernet0/0/3]portdefaultvlan10[SW2-Ethernet0/0/3]port-securityenable[SW2-Ethernet0/0/3]port-securityprotect-actionshutdown[SW2-Ethernet0/0/3]port-securitymac-addresssticky查看地址stikey情況3.ospf配置[R1]ospf1router-id[R1-ospf-1]area[R1-ospf-1-area-]network[R1-ospf-1-area-]network55[R1-ospf-1-area-]network55[Eudemon]ospf1router-id[Eudemon-ospf-1]area[Eudemon-ospf-1-area-]network4.安全策略配置[Eudemon]firewallzonetrust[Eudemon-zone-trust]setpriority85[Eudemon-zone-trust]addinterfaceGigabitEthernet0/0/0[Eudemon-zone-trust]q[Eudemon]firewallzoneuntrust局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第17頁。[Eudemon-zone-untrust]setpriority5局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)全文共19頁，當(dāng)前為第17頁。[Eudemon-zone-untrust]addinterfaceGigabitEthernet0/0/1[Eudemon]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound/當(dāng)數(shù)據(jù)流無法匹配域間包過濾中的ACL規(guī)則時(shí)，會(huì)按照域間缺省包過濾規(guī)則轉(zhuǎn)發(fā)或丟棄該數(shù)據(jù)流的報(bào)文5.NAT配置[Eudemon]interfaceGigabitEthernet1/0/2[Eudemon-GigabitEthernet1/0/2]ipaddress24[Eudemon-GigabitEthernet1/0/2]quit[Eu